Mise en place d’une PSSI
La politique de sécurité des systèmes d’information (PSSI) est un plan d’actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration, État, unions d’États…) en matière de sécurité des systèmes d’information (SSI).
La politique de sécurité des systèmes d’information étant intrinsèquement liée à la sécurité de l’information et un système d’information n’étant pas limité au système informatique, une PSSI (Politique de Sécurité des Systèmes d’Information) ne se limite pas à la sécurité informatique.
1. Pourquoi mettre en place une PSSI ?
La Politique de Sécurité du Système d’Information est un document qui doit être pris en compte par chaque collaborateur intervenant dans l’organisme afin qu’il puisse connaître les règles et les enjeux en matière de sécurité interne et externe mais aussi des mesures à appliquer en situation de crise.
La démarche de mise en œuvre d’une PSSI permet d’entreprendre une évaluation de la maturité de la sécurité de l’organisme, d’identifier les failles et les faiblesses organisationnelles et techniques afin de prévoir et d’appliquer un plan d’actions correctives et des règles associées.
Elle permet aussi d’évaluer l’importance du rôle que joue le système d’information dans le fonctionnement de l’ensemble des services.
Découvrez concrètement comment nous mettrions en place la PSSI de votre organisme
2. Définitions
PSSI (Politique de Sécurité des Systèmes d’Information)
La PSSI (Politique de Sécurité des Systèmes d’Information) constitue le principal document de référence en matière de SSI (Sécurité des Systèmes d’information) de l’organisme. Elle en est un élément fondateur définissant les objectifs à atteindre et les moyens accordés pour y parvenir.
La démarche de réalisation de cette politique est basée sur une analyse des risques en matière de sécurité des systèmes d’information.
Analyse de risques
Une analyse des risques est utilisée comme première étape d’un processus d’évaluation des risques. Le résultat d’une analyse des dangers est l’identification de différents types de dangers.
Danger
Un danger est une cause possible de dommage (à une personne, un peuple, un bien, à l’environnement, etc.). La probabilité de survenue de ce dommage est le risque associé à ce danger.
Découvrez concrètement comment nous mettrions en place la PSSI de votre organisme
3. Élaboration d’une PSSI
En France, la DCSSI (Direction centrale de la sécurité des systèmes d’information) a élaboré entre 2002 et 2004 le premier guide français sur la politique de sécurité du système d’information.
Bien que publié en 2004, le guide d’élaboration d’une politique de sécurité des systèmes d’information conserve encore en 2020 sa pertinence.
Le guide PSSI a pour objectif de fournir un support aux responsables SSI pour élaborer une politique de sécurité du ou des systèmes d’information (PSSI) au sein de leur organisme. Il est décomposé en quatre sections :
- L’introduction permettant de situer la place de la PSSI dans le référentiel normatif de la SSI au sein de l’organisme et de préciser les bases de légitimité sur lesquelles elle s’appuie ;
- La méthodologie présentant de façon détaillée la conduite de projet d’élaboration d’une PSSI, ainsi que des recommandations pour la construction des règles de sécurité ;
- Un référentiel des principes de sécurité ;
- Une liste de documents de références de la SSI (critères d’évaluation, textes législatifs, normes, codes d’éthiques, notes complémentaires…).
Découvrez concrètement comment nous mettrions en place la PSSI de votre organisme
4. Que contient une PSSI ?
La Politique de Sécurité du Système d’Information doit comporter plusieurs grands chapitres. Ceux-ci pouvant plus moins détaillés en fonction de l’organisme, de son secteur d’activité et de sa maturité technique et organisationnelle.
- Le domaine d’application de la PSSI
Il est nécessaire de clairement identifier le cadre de la mise en œuvre de la PSSI. Est-elle applicable à l’ensemble du système d’information de l’organisme ? Est-elle applicable à l’extérieur de l’entreprise ?
- Les responsabilités de la PSSI
Il est important de connaître le responsable du contenu document et à qui il est destiné (collaborateurs, prestataires…).
- Les documents associés
Une PSSI n’est rarement constitué que d’un seul document et repose la plupart du temps sur des annexes (politique de cryptographie, normes, règlement…) qu’il est indispensable de de référer.
- Les enjeux internes, externe
Pourquoi une politique est-elle mise en œuvre ?
Chaque document doit avoir un objectif, un sens. Ainsi, les « enjeux », qu’ils soient internes ou externes doivent être scrupuleusement écrits. Ils sont la base du projet !
- Les référentiels
Au-delà des enjeux, sur quels cadres réglementaires se base votre politique de sécurité du système d’information ? Est-ce le RGPD, une norme ISO27001 ou encore PCI-DSS ?
- La gouvernance
Qui est concerné par le Management de la Sécurité du Système d’Information au sein de l’organisme ? Il est important d’identifier les fonctions et les rôles spécifiques de chaque intervenant (Direction, DSI, RSSI, DPO…) ainsi que des instances mises en place pour contrôler, auditer et piloter la sécurité de l’information de l’organisme.
- Les règles
Enfin la PSSI doit spécifier les principes directeurs et les règles auxquelles l’entreprise souhaite s’engager pour garantir la sécurité de son système d’information.
Découvrez concrètement comment nous mettrions en place la PSSI de votre organisme
Et la charte informatique dans tout ça ?
Souvent confondue, la Politique de Sécurité du Système d’Information et la charte informatique sont deux documents différents. La PSSI fixe le cadre et les règles émises par l’entreprise pour l’ensemble de son système d’information. La charte informatique quant à elle est un document décrivant ce que le collaborateur à le droit de faire, ce qu’il doit respecter dans le cadre de son quotidien et les sanctions encourues en cas de non respects des règles.
Voyons maintenant comment nous mettrions en place votre PSSI
